McCoy
BLOGBUSINESS INTELLIGENCEPOWER BI
Wessel Verheijen

Power BI autorisatie

De raad van bestuur komt bij je binnen met een streng bericht dat de kosten van jouw afdeling omlaag moeten. Andere teamleiders kregen ook dit bericht, wat nu? Er moet een nieuwe rapportage komen in Microsoft Power BI om de kosten van onze afdeling te analyseren zodat de grootste kostenposten ontdekt en aangepakt kunnen worden. Wacht even, je wil natuurlijk niet dat andere teams ook jouw financien kunnen inzien. Hoe zorg je ervoor dat er geen gevoelige data uitlekt tijdens het ontwikkelen en consumeren van het rapport?

In deze blog lees je verschillende manieren om SAP-autorisatie in te stellen in Power BI. Op zoek naar een shortcut? Scroll dan door naar de Best Practices.

Ontwikkelen met privacy

In Power BI Desktop verbind je met een SAP gebruiker aan je SAP BW, HANA of ERP systeem via een Import of DirectQuery connectie. Hiermee haal je de gevraagde query op uit het bronsysteem. Deze gebruiker kun je in het bronsysteem een rol toekennen waarop autorisatie is toegepast. Hiermee haalt de gebruiker alleen geoorloofde data op.

Veilig naar de cloud

Bij het publiceren en distribueren van data breng je de data naar Power BI Service. Hier zijn er verschillende opties per connectietype:

Type 1 – data import

Met Scheduled Refresh kan de data automatisch worden ververst en opgeslagen op de Power BI Service.

Om Scheduled Refresh in te stellen, gebruik je ook een gebruiker van het bronsysteem. Hier gebruik je vaak een service user voor met algemene data restricitie. Als er ná het laden van de data nog verdere datarestrictie nodig is, kun je Row Level Security (RLS) instellen op de dataset. Deze beveiliging is dan toegepast op alle rapporten die worden gebouwd op die dataset.

Type 2 – DirectQuery

Met DirectQuery wordt de data bij elke interactie met het rapport opnieuw opgehaald uit de databron. Dit kan ook via een service user en RLS op de dataset. Daarnaast is het mogelijk om SSO in te stellen via Kerberos, zodat gebruikers via hun eigen SAP-credentials data ophalen uit de bron.

Hoe kies ik het juiste?

Bij het opzetten van de autorisatie is het als eerste belangrijk om naar de data set en de klant van de data te kijken. Voor gevoelige data, bijvoorbeeld AVG gerelateerde/HR data, is het belangrijk dat deze goed wordt afgeschermd. Hier is de best practice om een DirectQuery te gebruiken zodat de autorisatie vanuit de onderliggende bron mee genomen wordt. Hier zitten vaak specifieke autorisaties op bijvoorbeeld op kostenplaats/afdeling & functie en deze kan je het beste onderhouden in de bron. Let wel met DirectQuery kan je alleen verbinding maken met 1 query.

Wanneer de data minder gevoelig is en de wens is om meerdere bronnen te ontsluiten dan is de best practice om gebruik te maken van data import omdat dan gebruik kan maken van functionaliteiten in het PowerBI model welke niet beschikbaar zijn als je een direct query gebruikt. Om de data van per (sales) afdeling/company code/bedrijfsnummer in te perken stel de RLS in op de data set en maak je daar rollen voor in Power BI. Dit kan je ook afvangen door de service user in te perken en dan meerdere data sets te maken. Nadeel hiervan is dat je dan een veelvoud van je rapporten kan krijgen als je bijvoorbeeld sales rapporten per afdeling wilt splitsen.

Heb je nog andere vragen over Power BI op SAP? Neem snel contact op met Wessel en krijg antwoord op je vragen.